Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 1 subscriber
  • Views 15709 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Email Archived Attachments

Holy
Hello,

we have upgrade tot 9.306-6  and actualy Sophos should Scan with AV Proxy Archived attachment in Email since 9.3 

but i did some test and it passes it through, no scanning.

is there something that i have forgotten? any experiences with archives av scanning?



Thank you in advance


This thread was automatically locked due to age.
Parents
  • 0
    I just read your suggestion above, Berkleigh - great contribution!

    Since it would be impractical in an Active Directory environment, changing the time and blocking UDP/123 can only be used by home users, but that's probably where it's most needed.  Hopefully, businesses will have backup systems in place that minimize the damage.  It's difficult to imagine any other way to block I2P.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    I just read your suggestion above, Berkleigh - great contribution!

    Since it would be impractical in an Active Directory environment, changing the time and blocking UDP/123 can only be used by home users, but that's probably where it's most needed.  Hopefully, businesses will have backup systems in place that minimize the damage.  It's difficult to imagine any other way to block I2P.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    I just read your suggestion above, Berkleigh - great contribution!

    Since it would be impractical in an Active Directory environment, changing the time and blocking UDP/123 can only be used by home users, but that's probably where it's most needed.  Hopefully, businesses will have backup systems in place that minimize the damage.  It's difficult to imagine any other way to block I2P.

    Cheers - Bob


    Agreed, using the NTP time shift method would definitely not work in a large AD environment or perhaps any for that matter. Was thinking that a small script in Powershell that changes the time and time zone scheduled to run every 15 minutes or so might effectively cripple I2P to the point where it would essentially not work, will have to test that theory perhaps on a sacrificial lamb PC, plenty of old XP boxes laying around, just have to see if I can get my hands on the CryptoWALL exe which apparently goes by C:\2c428424\2c428424.exe

    I had written a script in Powershell recently that watches a network share for the tell-tale help_decrypt files left behind once CryptoWALL has done its dirty work and if found e-mails me immediately. Perhaps another defense would be to map 'dummy' shares on every computer on the network to one centrally monitored share with nothing important inside, sort of a honeypot type setup. Then you would know right away if someone on the network had been infected. The only problem then is how to determine which computer it came from. Of course as soon as the user whose computer it was notices the big warning screen the next day you will know then. 

    I suppose I could modify the script that looks for help_decrypt and have it look for that particular .exe file, install it on every PC, schedule it to run every 15 minutes or so, and then I will be e-mailed imediately and could possibly jump in and stop it early. Of course that is assuming it uses the same name every time.
Unfiltered HTML